2012년 6월경부터 국내 인터넷뱅킹 사용자를 대상으로 무차별적으로 유포가 시작된 인터넷뱅킹 악성코드가 최근 기존과는 전혀 다른 새로운 방식으로 금융 정보 수집 및 금전 피해를 유발하는 것으로 알려지고 있습니다.
▷ <AhnLab 블로그> 안랩, “인터넷뱅킹 계좌정보 변경하는 악성코드” 발견해 사용자 주의 촉구 (2013.9.17)
▷ <사이버경찰청 보도자료> 이체정보 가로채는 신종 메모리해킹 수법 주의! (2013.9.17)
오늘 안랩(AhnLab) 보안 업체에서 공개한 정보에 따르면 2013년 7월경 발견된 메모리 해킹 방식에서 더욱 발전한 이번 인터넷뱅킹 악성코드는 기존과 다르게 보안 카드 정보를 수집하지 않는 대신 감염된 사용자가 계좌 이체를 하는 과정에서 계좌 번호 및 이체 금액을 수정하여 범죄자의 계좌로 직접 이체하도록 한다고 밝히고 있습니다.
▷ hosts.ics 파일을 이용한 인터넷뱅킹 악성코드 주의 (2013.4.1) 외 7건
▷ AncillaryAgent.exe 파일을 이용한 인터넷뱅킹 악성코드 유포 주의 (2013.7.14)
우선 기존의 대표적인 인터넷뱅킹 악성코드의 유형을 분류해보면 ① 호스트 파일(C:\Windows\System32\drivers\etc\hosts, C:\Windows\System32\drivers\etc\hosts.ics)을 변조 또는 추가하여 사용자가 금융 사이트 접속시 가짜 사이트로 연결하여 금융 정보 및 보안 카드 풀(Full)세트를 요구하는 방식 ② 메모리 해킹 방식을 통해 사용자가 정상적인 금융 사이트를 방문하여 인터넷뱅킹 서비스를 이용하는 과정에서 금융권에서 제공하는 보안 솔루션의 메모리 해킹을 통해 금융 정보 및 보안 카드 1세트 정보를 수집한 후 서비스를 강제 종료한 후 수집된 금융 정보를 이용하여 인출하는 방식으로 크게 볼 수 있습니다.
특히 위와 같은 인터넷뱅킹 악성코드의 특징은 감염된 사용자로 하여금 빠른 시간 내에 금융권 사이트에 접속하도록 할 목적으로 네이버(Naver) 등 포털 사이트의 광고 배너를 바꿔치기 하는 방식으로 접속을 유도하거나 다양한 금융 사기 관련 안내창을 생성하는 점입니다.
하지만 이번에 발견된 인터넷뱅킹 악성코드는 감염된 사용자가 인터넷뱅킹을 이용하여 계좌 이체를 수행할 때까지 잠복한 상태로 유지되다가(※ 감염된 PC에서는 계좌 이체가 이루어질 때만 타켓으로 할 경우에는 금융 사이트 접속을 유도하는 안내창이 더 이상 노출되는 일이 없을지도 모릅니다.) 특정 계좌로 이체를 시도하는 과정에서 범죄자의 계좌로 변경하여 이체가 이루어지도록 하고 있습니다.(※ 이체 금액은 공격자가 감염자 계좌 잔액을 체크하여 악성코드가 설정한 금액과 동일하거나 초과할 경우에만 수정되며, 일반적으로 190만원 또는 290만원이 인출된다고 합니다.)
이로 인하여 최종적으로는 인터넷뱅킹 악성코드 감염자가 본인이 직접 범죄자의 계좌에 입금을 하는 방식이므로 금융권에서는 이를 사전에 차단하기 불가능하게 되며, 이로 인하여 금융권에서 제공하는 해외 차단 서비스, 기기 인증 서비스, OTP 방식이 무용지물이 될 수 있습니다.
계좌 이체 정보를 변경하는 인터넷뱅킹 악성코드에 감염된 경우 화면 상으로 변경된 계좌 정보와 이체 금액이 사용자에게 표시되는지 여부는 공개되지 않았지만(※ 이체 완료할 때까지 화면 상으로는 눈치챌 수 없을 것 같은 느낌?), 계좌 이체시 계좌 번호와 송금 금액을 꼼꼼하게 확인할 필요가 있습니다.
위와 같은 인터넷뱅킹 악성코드에 많은 사람들이 너무 쉽게 감염에 노출될 수 있으므로 벌새가 추천하는 다음과 같은 보안 수칙을 따르시기 바랍니다.
(1) Windows, Adobe Flash Player, Oracle Java 프로그램은 항상 업데이트를 통해 최신 버전을 사용하시기 바랍니다.
매월 정기적으로 제공되는 Windows 정기 보안 업데이트, 인터넷 이용시 반드시 설치해야 하는 Adobe Flash Player, 사용자의 선택에 의해 설치될 수 있는 Oracle Java 플러그인은 다양한 보안 취약점에 노출되어 있습니다.
이로 인하여 최신 버전을 사용하지 않을 경우 사용자가 인터넷 쇼핑몰, 커뮤니티, 언론사 등 정상적인 웹 사이트를 방문하는 행위만으로도 자동으로 악성코드에 감염될 수 있습니다.
그러므로 항상 이들 프로그램은 최신 버전을 사용하여 Exploit 공격으로부터 시스템을 보호하시기 바랍니다.(※ 특히 Oracle Java 프로그램 사용자의 상당수는 구버전을 사용하는 문제가 많으므로 주의하시기 바랍니다.)
(2) 알약(ALYac) 무료 백신 사용자는 Exploit 공격에 매우 취약하므로 Malwarebytes Anti-Exploit 프로그램을 추가적으로 설치하시기 바랍니다.
▷ 알약(ALYac) + Malwarebytes Anti-Exploit 프로그램을 이용한 Exploit 공격 대응법 (2013.9.1)
알약(ALYac) 무료 백신은 현재 다양한 Exploit 공격을 근본적으로 차단하는 기술이 포함되어 있지 않는 문제로 인하여, Adobe Flash Player 또는 Oracle Java 등의 취약점을 이용한 악성코드 감염 행위에 약점을 가지고 있습니다.
그러므로 알약(ALYac) 제품과 함께 Malwarebytes Anti-Exploit 프로그램을 함께 사용하시기 바랍니다.
(3) AhnLab V3 Lite 1.3 버전, 네이버 백신(Naver Vaccine), 다음 V3(Daum V3) 무료 백신 사용자는 프로그램 삭제 후 AhnLab V3 Lite 3.1 버전으로 변경하시기 바랍니다.
이들 무료 백신은 모두 AhnLab V3 제품을 기반으로 제작되었지만 Exploit 공격을 방어할 수 있는 기술이 포함되어 있지 않으며, AhnLab V3 Lite 3.1 버전에는 행위 기반 진단 및 클라우드 평판 기반 실행 차단을 통해 Exploit 대응 및 웹 보안 기술을 통해 악성코드를 받아오는 서버(URL/IP)를 차단할 수 있습니다.
그 외에 해외 무료 백신으로 유명한 MSE(Microsoft Security Essentials) 제품 역시 개인적으로 추천하지 않으므로, 무료 백신을 사용하고 싶다면 avast! Free Antivirus 제품을 추천해 드립니다.
또한 유료 제품으로는 AhnLab V3 365 클리닉 3.0 버전, Kaspersky Internet Security 2014, Norton Internet Security 등의 유명 보안 제품을 이용하시기 바랍니다.
(4) 국내에서 제작된 광고성 프로그램이 설치되지 않도록 주의하시기 바랍니다.
▷ 검색 도우미 : TabStation (2013.8.18)
일례로 국내에서 제작된 광고 프로그램 중 TabStation 검색 도우미가 설치된 환경에서 인터넷 이용시 추가적인 광고창이 생성되는 과정에서 광고 서버 해킹으로 인하여 Exploit 방식의 악성코드 감염을 유발하는 행위를 발견할 수 있습니다.
이 외에도 다양한 광고성 프로그램 또는 관리가 제대로 이루어지지 않는 소프트웨어(※ 동영상 재생 프로그램, 압축 프로그램, 웹하드, 화면 캡처, 보안 솔루션 등)의 업데이트 기능 등을 통해 사용자 몰래 악성코드가 유포되는 사례가 확인되고 있으므로 사용자는 검증된 프로그램만을 사용하는 것이 매우 중요합니다.
특히 Exploit 공격 방식이 아닌 해킹을 통해 기존의 프로그램이 변조되어 유포되는 경우에는 평판 및 행위 기반 차단 능력을 갖춘 보안 제품이 사전에 차단할 수 있을 가능성이 높을 것으로 판단됩니다.
결론적으로 인터넷뱅킹 악성코드는 점점 진화하는 형태로 발전하고 있으며, 사용자 입장에서는 보안 제품을 통한 수동적인 대응이 아닌 보안 업데이트의 생활화 및 불필요한 프로그램(PUP)이 설치되지 않도록 적극적으로 PC 관리에 신경을 써야 합니다.